Hướng dẫn giới thiệu và Nghiên cứu điển hình về Google Cloud

Spread the love

Hãy cùng tôi khám phá Cloud Cryptography, các loại của nó và việc triển khai Google Cloud.

Một tập hợp con của IaaS, điện toán đám mây đi trước giai đoạn từ thông dụng. Đó là một lực lượng thống trị với các cá nhân, doanh nghiệp và chính phủ sử dụng các dịch vụ đám mây để cắt ngắn sự phức tạp của hệ thống công nghệ tại chỗ.

Đám mây là hình ảnh thu nhỏ của sự tiện lợi, kinh tế và khả năng mở rộng.

Nói một cách đơn giản, điện toán đám mây là khi bạn mượn các tài nguyên máy tính như bộ nhớ, RAM, CPU, v.v., qua internet mà không cần lưu trữ bất kỳ thứ gì.

Một ví dụ về cuộc sống hàng ngày là Google Drive hoặc Yahoo Mail. Chúng tôi tin tưởng những công ty này cung cấp dữ liệu – đôi khi là thông tin nhạy cảm liên quan đến cá nhân hoặc doanh nghiệp.

Nói chung, một người dùng bình thường không bận tâm về quyền riêng tư hoặc bảo mật của điện toán đám mây. Nhưng bất kỳ ai được thông báo rõ ràng về lịch sử giám sát hoặc các cuộc tấn công mạng tinh vi hiện nay đều phải nâng cao cảnh giác hoặc ít nhất là được thông báo về tình hình hiện tại.

Cloud Cryptography là gì?

Mật mã đám mây giải quyết cảm giác không an toàn đó bằng cách mã hóa dữ liệu được lưu trữ trong đám mây để ngăn truy cập trái phép.

Mã hóa là kỹ thuật sử dụng mật mã (thuật toán) để chuyển đổi thông tin tiêu chuẩn sang phiên bản xáo trộn. Trong trường hợp đó, kẻ tấn công sẽ không hiểu chi tiết ngay cả khi nó bị lộ.

Có nhiều loại mã hóa khác nhau dựa trên trường hợp sử dụng. Vì vậy, điều quan trọng là phải sử dụng một mật mã chất lượng để mã hóa dữ liệu đám mây.

Ví dụ, bạn có thể hiểu văn bản sau:

Iggmhnctg rtqfwegu jkij-swcnkva vgejpqnqia & hkpcpeg ctvkengu, ocmgu vqqnu, cpf CRKu vq jgnr dwukpguugu cpf rgqrng itqy.

Không!

Nó có thể là một câu đố nào đó đối với não người, nhưng hãy sử dụng bất kỳ bộ giải mã Caesar nào, và chúng sẽ phá vỡ nó trong vài giây:

Ngay cả những người thông thạo mật mã Caesar cũng có thể thấy rằng tất cả các chữ cái trong bản mã là hai bảng chữ cái trước các bản sao của bản rõ.

Vì vậy, vấn đề là sử dụng một mật mã mạnh, như của AES-256.

Cloud Cryptography hoạt động như thế nào?

Vài dòng cuối cùng của phần trước có thể tạo ấn tượng rằng bạn sẽ chọn một mật mã để mã hóa dữ liệu.

Về mặt kỹ thuật, nó có thể hoạt động như vậy. Nhưng thông thường, nhà cung cấp dịch vụ đám mây cho phép mã hóa gốc hoặc bạn tận dụng mã hóa dưới dạng dịch vụ từ bên thứ ba.

Vì vậy, chúng tôi sẽ chia điều này thành hai loại và xem việc triển khai.

# 1. Mã hóa trên nền tảng Đám mây

Đây là phương pháp đơn giản nhất mà nhà cung cấp dịch vụ đám mây có uy tín đảm nhận việc mã hóa.

  Sửa lỗi Yahoo Mail 0x8019019a

Tốt nhất, điều này áp dụng cho:

Dữ liệu ở trạng thái nghỉ

Đây là khi dữ liệu được lưu trữ ở dạng mã hóa trước khi chuyển đến các vùng chứa lưu trữ hoặc sau đó.

Vì mật mã đám mây là một cách tiếp cận mới, nên không có cách thức hoạt động nào được xác định trước. Có nhiều ấn phẩm nghiên cứu thử nghiệm các phương pháp khác nhau, nhưng điều quan trọng là ứng dụng thực tế.

Vậy làm thế nào để một công ty cơ sở hạ tầng đám mây hàng đầu như Google Cloud bảo vệ dữ liệu một cách an toàn?

Theo Hồ sơ của Google, họ chia dữ liệu thành các nhóm nhỏ vài gigabyte trải khắp các vùng chứa lưu trữ của họ trên các máy khác nhau. Bất kỳ vùng chứa cụ thể nào cũng có thể chứa dữ liệu của những người dùng giống nhau hoặc khác nhau.

Hơn nữa, mỗi gói được mã hóa riêng lẻ, ngay cả khi chúng nằm trong cùng một vùng chứa và thuộc về một người dùng duy nhất. Điều này có nghĩa là nếu khóa mã hóa liên quan đến một gói bị xâm phạm, các tệp khác sẽ vẫn an toàn.

Nguồn: Google Cloud

Bên cạnh đó, khóa mã hóa được thay đổi với mỗi lần cập nhật dữ liệu.

Dữ liệu ở cấp lưu trữ này được mã hóa bằng AES-256, ngoại trừ một số đĩa liên tục được tạo trước năm 2015 bằng cách sử dụng mã hóa AES-128 bit.

Vì vậy, đây là lớp mã hóa đầu tiên – ở cấp độ gói riêng lẻ.

Tiếp theo, ổ đĩa cứng (HDD) hoặc ổ cứng thể rắn (SSD) lưu trữ các khối dữ liệu này được mã hóa bằng một lớp mã hóa AES-256 bit khác, với một số HHD kế thừa vẫn sử dụng AES-128. Xin lưu ý rằng khóa mã hóa cấp thiết bị khác với mã hóa cấp lưu trữ.

Giờ đây, tất cả các khóa mã hóa dữ liệu (DEK) này được mã hóa thêm bằng khóa mã hóa khóa (KEK), sau đó được quản lý tập trung bởi Dịch vụ quản lý khóa (KMS) của Google. Đáng chú ý, tất cả KEK đều sử dụng mã hóa AES-256 / AES-128 bit và ít nhất một KEK được liên kết với mỗi dịch vụ đám mây của Google.

Các KEK này được xoay vòng ít nhất một lần trong khoảng thời gian 90 ngày bằng cách sử dụng thư viện mật mã chung của Google.

Mỗi KEK được sao lưu, theo dõi mỗi khi ai đó sử dụng nó và chỉ người được ủy quyền mới có thể truy cập.

Tiếp theo, tất cả các KEK được mã hóa lại bằng mã hóa AES-256 bit tạo ra khóa chính KMS được lưu trữ trong một cơ sở quản lý khóa khác, được gọi là Root KMS, lưu trữ một số ít các khóa như vậy.

Root KMS này được quản lý trên các máy chuyên dụng trong mỗi trung tâm dữ liệu Google Cloud.

Giờ đây, Root KMS này được mã hóa với AES-256, tạo ra một khóa chính KMS gốc duy nhất được lưu trữ trong cơ sở hạ tầng ngang hàng.

Một phiên bản Root KMS chạy trên mọi nhà phân phối khóa chính KMS gốc đang giữ khóa trong bộ nhớ truy cập ngẫu nhiên.

Mỗi phiên bản mới của nhà phân phối khóa chính KMS gốc đều được phê duyệt bởi các phiên bản đã chạy để tránh chơi xấu.

Ngoài ra, để xử lý điều kiện mà tất cả các phiên bản nhà phân phối cần khởi động đồng thời, khóa chủ KMS gốc cũng được sao lưu chỉ ở hai vị trí thực.

  Các cách tốt nhất để hiển thị NFT trong nhà của bạn

Và cuối cùng, ít hơn 20 nhân viên của Google có quyền truy cập vào các địa điểm được phân loại cao này.

Vì vậy, đây là cách Google thực hành mật mã đám mây cho dữ liệu ở trạng thái còn lại.

Nhưng nếu bạn muốn giải quyết vấn đề của riêng mình, bạn cũng có thể tự quản lý các chìa khóa. Ngoài ra, người ta có thể thêm một lớp mã hóa khác lên trên và tự quản lý các khóa. Tuy nhiên, người ta nên nhớ rằng mất các khóa này cũng có nghĩa là bị khóa khỏi dự án web của riêng bạn.

Tuy nhiên, chúng ta không nên mong đợi mức độ chi tiết này từ tất cả các nhà cung cấp đám mây khác. Vì Google tính phí bảo hiểm cho các dịch vụ của mình, bạn có thể được hưởng lợi từ một nhà cung cấp khác có chi phí thấp hơn nhưng phù hợp với mô hình mối đe dọa cụ thể của bạn.

Dữ liệu đang chuyển tiếp

Đây là nơi dữ liệu di chuyển trong trung tâm dữ liệu của nhà cung cấp dịch vụ đám mây hoặc bên ngoài ranh giới của nó, chẳng hạn như khi bạn tải nó lên từ máy của chính mình.

Một lần nữa, không có cách nào vững chắc để bảo vệ dữ liệu khi chuyển tiếp, vì vậy chúng ta sẽ thấy việc triển khai đám mây của Google.

Sách trắng về vấn đề này, mã hóa trong quá trình chuyển tiếpnêu ba biện pháp để bảo mật dữ liệu không cố định: xác thực, mã hóa và kiểm tra tính toàn vẹn.

Trong trung tâm dữ liệu của mình, Google bảo mật dữ liệu khi truyền bằng xác thực điểm cuối và xác nhận tính toàn vẹn với mã hóa tùy chọn.

Trong khi người dùng có thể lựa chọn các biện pháp bổ sung, Google xác nhận bảo mật hàng đầu tại cơ sở của mình với quyền truy cập được giám sát cực kỳ nghiêm ngặt được cấp cho một số nhân viên của mình.

Ngoài giới hạn vật lý của mình, Google áp dụng chính sách khác biệt đối với các dịch vụ đám mây của riêng mình (như Google Drive) và bất kỳ ứng dụng nào của khách hàng được lưu trữ trên đám mây của mình (như bất kỳ trang web nào chạy trên công cụ máy tính).

Trong trường hợp đầu tiên, tất cả lưu lượng truy cập trước tiên sẽ đi đến trạm kiểm soát được gọi là Google Front End (GFE) bằng cách sử dụng Bảo mật lớp truyền tải (TLS). Sau đó, lưu lượng truy cập được giảm thiểu DDoS, cân bằng tải trên các máy chủ và cuối cùng được chuyển hướng đến Dịch vụ đám mây của Google.

Đối với trường hợp thứ hai, trách nhiệm đảm bảo an toàn cho dữ liệu trong quá trình truyền tải chủ yếu thuộc về chủ sở hữu cơ sở hạ tầng trừ khi họ không sử dụng một dịch vụ khác của Google (như Cloud VPN) để truyền dữ liệu.

Nói chung, TLS được sử dụng để đảm bảo dữ liệu không bị can thiệp trên đường đi. Đây là giao thức tương tự được sử dụng theo mặc định khi bạn kết nối với bất kỳ trang web nào bằng HTTPS, được ký hiệu bằng biểu tượng ổ khóa trên thanh URL.

Mặc dù nó thường được sử dụng trong tất cả các trình duyệt web, nhưng bạn cũng có thể áp dụng nó cho các ứng dụng khác như email, cuộc gọi âm thanh / video, nhắn tin tức thì, v.v.

  Sử dụng các công cụ kỹ thuật hỗn loạn để kiểm tra độ tin cậy của sản xuất

Tuy nhiên, đối với các tiêu chuẩn mã hóa tối cao, có những mạng riêng ảo lại cung cấp nhiều lớp bảo mật với mật mã mã hóa nâng cao như AES-256.

Nhưng việc triển khai mật mã đám mây của riêng bạn rất khó, điều này đưa chúng tôi đến…

# 2. Mã hóa-Như-Một-Dịch vụ

Đây là nơi các giao thức bảo mật mặc định trên nền tảng đám mây của bạn yếu hoặc không có trong các trường hợp sử dụng cụ thể.

Một trong những giải pháp rõ ràng tốt nhất là tự mình giám sát mọi thứ và đảm bảo an ninh dữ liệu cấp doanh nghiệp. Nhưng điều đó nói dễ hơn làm và loại bỏ cách tiếp cận không phức tạp mà ai đó lựa chọn sử dụng điện toán đám mây.

Vì vậy, điều đó khiến chúng tôi phải sử dụng Mã hóa như một dịch vụ (EAAS) chẳng hạn như CloudHesive. Tương tự như sử dụng điện toán đám mây, lần này, bạn ‘mượn’ mã hóa chứ không phải CPU, RAM, bộ nhớ, v.v.

Dựa trên nhà cung cấp EAAS, bạn có thể tận dụng mã hóa cho dữ liệu ở trạng thái nghỉ và đang chuyển.

Ưu điểm và nhược điểm của Mật mã đám mây

Ưu điểm rõ rệt nhất là tính bảo mật. Thực hành mật mã đám mây đảm bảo dữ liệu của người dùng của bạn tránh xa tội phạm mạng.

Mặc dù mật mã đám mây không thể ngăn chặn mọi vụ tấn công, nhưng đó là việc làm của bạn và có lời biện minh thích hợp nếu mọi thứ diễn ra sai lầm.

Đi đến bất lợi, đầu tiên là chi phí và thời gian cần thiết để nâng cấp khung bảo mật hiện có. Bên cạnh đó, có rất ít điều có thể giúp ích nếu bạn mất quyền truy cập vào các khóa mã hóa trong khi tự quản lý.

Và vì đây là một công nghệ mới ra đời, nên việc tìm kiếm một EAAS đã được kiểm tra theo thời gian cũng không dễ dàng.

Tóm lại, cách tốt nhất là sử dụng nhà cung cấp dịch vụ đám mây và ngân hàng có uy tín trên các cơ chế mật mã gốc.

Kết thúc

Chúng tôi hy vọng điều này có thể cung cấp cho bạn cái nhìn sơ lược về mật mã đám mây. Tóm lại, đó là về bảo mật dữ liệu liên quan đến đám mây, bao gồm cả khi nó di chuyển ra bên ngoài.

Hầu hết các công ty cơ sở hạ tầng đám mây được xếp hạng hàng đầu như Google Cloud, Amazon Web Services, v.v., đều có bảo mật đầy đủ cho các trường hợp sử dụng tối đa. Tuy nhiên, không có hại gì nếu bạn tìm hiểu các biệt ngữ kỹ thuật trước khi lưu trữ các ứng dụng quan trọng trong sứ mệnh của bạn với bất kỳ ai.

Tái bút: Kiểm tra một số giải pháp tối ưu hóa chi phí đám mây cho AWS, Google Cloud, Azure, v.v.

x